ESXi で NFS ストレージを使用する場合は、NFS サーバの構成、ネットワーク、NFS データストアなどに関連する個別のガイドラインに従ってください。

NFS サーバの構成

ESXi と連携するように NFS サーバを構成する場合は、ストレージ ベンダーの推奨に従ってください。これらの一般的な推奨事項に加えて、vSphere 環境の NFS に適用される個別のガイドラインを使用してください。

ガイドラインには、以下の項目が含まれます。

  • 使用する NAS サーバが『VMware HCL』に記載されていることを確認します。サーバ ファームウェアの正しいバージョンを使用します。
  • NFS ボリュームが NFS over TCP を使用してエクスポートされていることを確認します。
  • NAS サーバが NFS 3 または NFS 4.1 として特定の共有をエクスポートすることを確認します。NAS サーバが、同じ共有に両方のプロトコル バージョンを提供することはできません。ESXi では異なる NFS バージョン間でも同じ共有がマウントされるため、NAS サーバはこのポリシーを強制する必要があります。
  • NFS 3 および非 Kerberos (AUTH_SYS) NFS 4.1 は、root 以外の認証情報を使用して NFS ボリュームにアクセスできるようにするデリゲート ユーザー機能をサポートしていません。NFS 3 または非 Kerberos NFS 4.1 を使用する場合、各ホストにボリュームへの root アクセス権があることを確認します。ストレージ ベンダーによって、この機能を有効にするために使用する方式が異なりますが、通常、NAS サーバでは no_root_squash オプションが使用されます。NAS サーバから root アクセス権が付与されていない場合でも、NFS データストアをホストにマウントできます。ただし、そのデータストアで仮想マシンを作成することはできません。
  • 基盤となる NFS ボリュームが読み取り専用の場合、ボリュームが NFS サーバによって読み取り専用の共有としてエクスポートされることを確認します。または、ボリュームを読み取り専用のデータストアとして ESXi ホストにマウントします。それ以外の場合、ホストはデータストアを読み取り/書き込み可能と認識し、ファイルを開かない場合があります。

NFS のネットワーク

ESXi ホストは、TCP/IP ネットワーク接続を使用してリモート NAS サーバにアクセスします。一部のガイドラインおよびベスト プラクティスは、NFS ストレージを使用する場合にネットワークを設定するためのものです。

詳細については、『vSphere のネットワーク』ドキュメントを参照してください。

  • ネットワーク接続については、ESXi ホストで標準的なネットワーク アダプタを使用します。
  • ESXi は、レイヤー 2 およびレイヤー 3 ネットワーク スイッチをサポートしています。レイヤー 3 スイッチを使用する場合、ESXi ホストと NFS ストレージ アレイのサブネットは異なっている必要があり、ネットワーク スイッチでルーティング情報を処理する必要があります。
  • NFS ストレージの VMkernel ポート グループを設定します。既存の仮想スイッチ (vSwitch) または新規の vSwitch で、IP ストレージの VMkernel ポート グループを作成できます。vSwitch は、vSphere Standard スイッチ (VSS) または vSphere Distributed Switch (VDS) になります。
  • NFS トラフィックに複数のポートを使用する場合、仮想スイッチと物理スイッチを正しく構成していることを確認します。
  • NFS 3 と NFS 4.1 は IPv6 をサポートしています。
  • nconnect オプションにより、複数の接続を使用して NFS ストレージを構成できます。NFS 4.1 の場合は、セッションごとに複数の接続を作成できます。NFS 3 の場合は、複数の接続でデータストアをマウントできます。デフォルトでは、各 NFS データストアに最大 4 つの接続を設定できます。ただし、高度な NFS オプションを使用して最大 8 つまで増やすことができます。マウントされたすべての NFS データストア間における接続の総数が 256 を超えないようにします。NFS 用の複数の TCP 接続の構成を参照してください。
  • NFS トラフィックを特定の VMkernel アダプタに隔離できます。バインドを使用しない場合、ESXi が NFS トラフィック用に使用する VMkernel アダプタに障害が発生すると、ネットワーク インフラストラクチャがトラフィックを代替ルートにリダイレクトします。その結果、NFS トラフィックが誤ってランダムな VMkernel アダプタを通過することがあります。NFS データストアの VMkernel ポート バインドを使用すると、NFS ボリュームを特定の VMkernel アダプタにバインドして NFS サーバに接続できます。NFS データストアの VMkernel バインドの構成を参照してください。

NFS のファイル ロック

ファイル ロック メカニズムは、サーバに保存されたデータへのアクセスを一度に 1 人のユーザーまたは 1 つのプロセスに制限するために使用されます。2 つの NFS バージョンのロック メカニズムには互換性がありません。NFS 3 は独自のロックを使用し、NFS 4.1 はネイティブ プロトコルで指定されたロックを使用します。

ESXi の NFS 3 ロックでは、ネットワーク ロック マネージャ (NLM) プロトコルを使用しません。代わりに VMware は、独自のロック プロトコルを使用できるようにしています。NFS 3 ロックは、NFS サーバでロック ファイルを作成することによって実装されます。ロック ファイルには、.lck-file_id. という名前が付けられます。

NFS 4.1 では、ロック メカニズムとして共有の予約を使用します。

NFS 3 クライアントと NFS 4.1 クライアントで使用するロック プロトコルは異なるため、異なる NFS バージョンを使用して複数のホストに同じデータストアをマウントすることはできません。互換性のない 2 つのクライアントから同じ仮想ディスクにアクセスすると、不適切な動作やデータの破損が発生する可能性があります。

NFS のセキュリティ

NFS 3 および NFS 4.1 と組み合わせることで、ESXi は AUTH_SYS セキュリティをサポートします。さらに、NFS 4.1 では、Kerberos セキュリティ メカニズムがサポートされます。

NFS 3 は AUTH_SYS セキュリティ メカニズムをサポートしています。このメカニズムを使用すると、ストレージ トラフィックは暗号化されない形式で LAN 内を転送されます。このセキュリティ上の制約があるため、信頼できるネットワークでのみ NFS ストレージを使用し、トラフィックを別々の物理スイッチ上で隔離します。プライベート VLAN を使用することもできます。

NFS 4.1 では、NFS サーバとの通信の安全性を確保するため、Kerberos 認証プロトコルがサポートされています。Kerberos を使用すると、root 以外のユーザーがファイルにアクセスできます。詳細については、『ESXi での NFS 4.1 用 Kerberos の使用』を参照してください。

Kerberos に加えて、NFS 4.1 では AUTH_SYS セキュリティを使用した従来の Kerberos 以外のマウントをサポートしています。この場合は、NFS バージョン 3 の root アクセス権のガイドラインを使用してください。
注: 複数のホストで共有される 1 つの NFS 4.1 データストアには、2 つのセキュリティ メカニズム(AUTH_SYS と Kerberos)を使用できません。

NFS のマルチパス

NFS 4.1 は、プロトコルの仕様に従ってマルチパスをサポートします。NFS 3 ではマルチパスは適用できません。

NFS 3 では、I/O で 1 つの TCP 接続を使用します。そのため、ESXi は NFS サーバの 1 つの IP アドレスまたはホスト名での I/O のみをサポートしており、複数のパスをサポートしていません。ネットワークのインフラストラクチャおよび構成に応じて、ネットワーク スタックを使用してストレージ ターゲットへの複数の接続を構成することができます。この場合は複数のデータストアを使用し、各データストアでは、ホストとストレージの間で別々のネットワーク接続を使用する必要があります。

NFS 4.1 では、セッション トランクをサポートするサーバの場合にマルチパスを使用できます。トランク機能が使用可能な場合は、複数の IP アドレスを使用して 1 つの NFS ボリュームにアクセスすることができます。クライアント ID トランクはサポートされていません。

NFS とハードウェア アクセラレーション

NFS データストアで作成された仮想ディスクは、デフォルトでシンプロビジョニングです。シックプロビジョニングの仮想ディスクを作成するには、容量の予約操作をサポートするハードウェア アクセラレーションを使用する必要があります。

NFS 3 および NFS 4.1 ではハードウェア アクセラレーションがサポートされており、これによりホストでは、NAS デバイスと統合し、NAS ストレージが提供するいくつかのハードウェア操作を使用できます。詳細については、NAS デバイスでの vSphere ハードウェア アクセラレーションを参照してください。

NFS データストア

NFS データストアを作成する際は、必ずいくつかのガイドラインに従ってください。

NFS データストアのガイドラインおよびベスト プラクティスには、以下の項目が含まれます。NFS データストアを作成するには、 vSphere 環境での NFS データストアの作成を参照してください。
  • 異なる NFS バージョンを使用して、異なるホストに同じデータストアをマウントすることはできません。NFS 3 クライアントと NFS 4.1 クライアントは互換性がなく、使用しているロック プロトコルが異なります。そのため、互換性のない 2 つのクライアントから同じ仮想ディスクにアクセスすると、不適切な動作やデータの破損が発生する可能性があります。
  • NFS 3 と NFS 4.1 のデータストアは同じホスト上に共存できます。
  • ESXi は自動的に NFS バージョン 3 をバージョン 4.1 にアップグレードすることはできませんが、ほかの変換方式は使用できます。詳細については、『NFS アップグレード』を参照してください。
  • 異なるホスト上で同じ NFS 3 ボリュームをマウントする場合、サーバ名とフォルダ名がホスト間で同一であることを確認してください。名前が一致しない場合、ホストは同じ NFS バージョン 3 ボリュームを 2 つの異なるデータストアと見なします。このエラーによって、vMotion などの機能が失敗する場合があります。たとえば、1 つのホストでサーバ名を「filer」と入力し、別のホストで「filer.domain.com」と入力した場合に、このような不一致が見られます。このガイドラインは NFS バージョン 4.1 には適用されません。
  • ASCII 以外の文字を使用してデータストアと仮想マシンに命名する場合には、基盤となる NFS サーバが国際化サポートを提供することを確認します。サーバが国際文字をサポートしない場合には、ASCII 文字のみを使用します。そうでないと、予測できない障害が発生する場合があります。

ESXi でレイヤー 3 のルート設定された接続を使用して NFS ストレージにアクセスする方法

レイヤー 3 (L3) のルート設定された接続を使用して NFS ストレージにアクセスする場合は、特定の要件および制約を検討してください。

環境が次の要件を満たしていることを確認します。
  • IP ルーターで Cisco のホット スタンバイ ルーター プロトコル (HSRP) を使用してください。Cisco 以外のルーターを使用している場合は、代わりに仮想ルーター冗長プロトコル (VRRP) を使用します。
  • バンド幅が制限されているネットワークや、輻輳が発生しているネットワークで NFS L3 トラフィックを優先するには、Quality of Service (QoS) を使用します。詳細については、お使いのルーターのドキュメントを参照してください。
  • ストレージ ベンダーによって提供されるルート設定された NFS L3 の推奨事項を実行します。詳細については、ストレージ ベンダーにお問い合わせください。
  • ネットワーク I/O リソース管理 (NetIORM) を無効にしてください。
  • トップオブラック スイッチあるいはスイッチ依存の I/O デバイス パーティショニングを使用する予定がある場合は、互換性とサポートについてシステム ベンダーにお問い合わせください。
L3 環境では、以下の制限が適用されます。
  • この環境は VMware Site Recovery Manager をサポートしません。
  • この環境は NFS プロトコルのみをサポートします。同じ物理ネットワーク上で FCoE などの他のストレージ プロトコルを使用しないでください。
  • この環境の NFS トラフィックは IPv6 をサポートしません。
  • この環境の NFS トラフィックは LAN 上でのみ経路指定することができます。WAN などのその他の環境はサポートされていません。

NFS ストレージ ESXi のファイアウォール構成

NFS データストア バージョン 3 または 4.1 のマウント時に ESXi によって作成されるファイアウォール ルール セット ファイル(nfsClient および nfs41client)について説明します

ファイアウォール構成の全般情報については、『vSphere のセキュリティ』ドキュメントの「ESXi ファイアウォールの構成」を参照してください。

NFS クライアント ファイアウォールの動作

NFS クライアントのファイアウォール ルール セットの動作は、他の ESXi ファイアウォール ルール セットとは異なります。ESXi では、NFS データストアをマウントまたはアンマウントするときに NFS クライアント設定が構成されます。動作は、NFS のバージョンによって異なります。

NFS データストアの追加、マウント、アンマウントを行ったときの動作は、NFS のバージョンによって異なります。

NFS v3 ファイアウォールの動作

NFS v3 データストアを追加またはマウントする際、ESXi は、NFS クライアント (nfsClient) のファイアウォール ルール セットの状態を確認します。

  • nfsClient のルール セットが無効な場合、ESXi はこのルール セットを有効にし、allowedAll フラグを FALSE に設定することで、すべての IP アドレスを許可するポリシーを無効にします。NFS サーバの IP アドレスが発信 IP アドレスの許可リストに追加されます。
  • nfsClient のルール セットが有効な場合、ルール セットの状態と、許可される IP アドレスのポリシーは変更されません。NFS サーバの IP アドレスが発信 IP アドレスの許可リストに追加されます。
注: nfsClient のルール セットを手動で有効にするか、すべての IP アドレスを許可するポリシーを手動で設定すると、NFS v3 データストアをシステムに追加する前または後で、以前の NFS v3 データストアがアンマウントされる際に設定がオーバーライドされます。すべての v3 NFS データストアがアンマウントされると、 nfsClient のルール セットは無効になります。

NFS v3 データストアを削除またはアンマウントすると、ESXi によって次のいずれかの操作が実行されます。

  • 残りの NFS v3 データストアのいずれもアンマウントされるデータストアのサーバからマウントされない場合、ESXi はサーバの IP アドレスを発信 IP アドレスのリストから削除します。
  • アンマウント操作後にマウントされている NFS v3 データストアが残っていない場合、ESXi は、nfsClient ファイアウォール ルール セットを無効にします。

NFS v4.1 ファイアウォールの動作

最初の NFS v4.1 データストアをマウントすると、ESXinfs41client のルール セットを有効にし、allowedAll フラグを TRUE に設定します。この操作により、すべての IP アドレスに対してポート 2049 が開きます。NFS v4.1 データストアをアンマウントしても、ファイアウォールの状態には影響しません。つまり、最初の NFS v4.1 のマウントでポート 2049 が開き、そのポートは、明示的に閉じられない限り、有効な状態を維持します。

NFS クライアントのファイアウォール ポートの確認

ESXi は、NFS ストレージへのアクセスを有効にするために、ユーザーが NFS データストアをマウントするときに自動的に NFS クライアントのファイアウォール ポートを開きます。トラブルシューティングのために、ポートが開いていることを確認しなければならない場合もあります。

手順

  1. vSphere Client で、ESXi ホストに移動します。
  2. [設定] タブをクリックします。
  3. [システム] の下で、[ファイアウォール] をクリックして [編集] をクリックします。
  4. 適切なバージョンの NFS までスクロール ダウンし、ポートが開いていることを確認します。